1 / 11

Как быстро найти и устранить проблемы безопасности

Как быстро найти и устранить проблемы безопасности. Думбравану Вадим руководитель проектов Шаромов Денис руководитель отдела техподдержки. Безопасный проект. Безопасное веб-приложение Безопасный пользовательский код Проактивная защита Безопасное окружение (кто?) ОС Веб-сервер СУБД

becky
Download Presentation

Как быстро найти и устранить проблемы безопасности

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Какбыстронайти и устранитьпроблемыбезопасности Думбравану Вадим руководительпроектов ШаромовДенис руководительотделатехподдержки

  2. Безопасный проект • Безопасное веб-приложение • Безопасный пользовательский код • Проактивная защита • Безопасное окружение (кто?) • ОС • Веб-сервер • СУБД • Memcached • Сторонние скрипты

  3. Проактивнаязащита Проактивный фильтр (WebApplicationFireWall) Веб-антивирус Технология одноразовых паролей (OTP) Защита сессий Защита редиректов от фишинга Стоп-листы Контроль целостности скриптов

  4. «Облачный» сканер безопасности Выполняет внутреннее сканирование окружения проекта Выполняет проверку настроек сайта, к примеру, включен ли WAF, установлен ли пароль к БД и т. д. Выполняет поиск потенциальных уязвимостей в коде проекта с помощью статического анализа. Запускает внешнее сканирование.

  5. Локальные тесты example.ru Сканербезопасности Частьлокальныхтестовработаетизнутри Другаячастьготовитокружение и подключаетсячерезвебсервер

  6. Локальные тесты Праванафайлы и папкипроекта Временнаяпапказагрузкифайлов Папкахранениясессий Общиесессииразныхпроектов (новыеверсиинеподвержены) Выполнениескриптов в папке upload ПроверкаAllowOverride none в папке upload Статическийанализ

  7. Внешние тесты Сервис example.ru 1c-bitrix Сервер очередей Задание Ключ Сканербезопасности Облачный сканер Задание

  8. Внешниетесты Закрыт Directory Index Уязвимостиphp-cgi/fpm Закрытыестатусныестраницы Apache и nginx Временныефайлыdbconn.php (.bak, .old и пр.) ДоступностьphpMyAdmin Системыконтроляверсий phpinfo

  9. Результат

  10. Статистика Всегосканирований: 20381 Изнихуспешных: 17533 Изнихуникальныхдоменов: 5408 Всегонайденопроблем: 3003 Изнихисправлено: 687 Критичных: 860/316 Менее критичных: 874/235 Некритичные: 1269/136

  11. Спасибо за внимание! Вопросы?

More Related